Segurança & Auditoria de Sistemas AULA 07 • Eduardo Silvestri • www.eduardosilvestri.com.br Política de Segurança O que é Política de Segurança Política de Segurança é um conjunto de normas que visa estabelecer procedimentos formais para a utilização da informação e dos recursos computacionais da empresa, determinando os meios e as ferramentas que devem ser utilizados. Características Fundamentais • Deve possuir envolvimento e o aval da alta administração da empresa; • Deve ser flexível, de fácil implantação e facilmente adaptável a novas situações; • Deve definir claramente as responsabilidades; • Deve indicar os métodos e ferramentas que devem ser utilizadas para se alcançar o objetivo. Principais etapas de elaboração • • • • • • • • • • • • Definir da equipe responsável pela implantação e manutenção da segurança; Analisar as necessidades e procedimentos utilizados pela empresa; Identificar os processos críticos; Classificar a Informação; Elaborar Normas para técnicos e usuários; Definir um plano de recuperação a desastres ou plano de contingência Elaborar um Termo de Compromisso; Definir sanções ou penalidades pelo não cumprimento da política; Comunicado da diretoria / presidência aos funcionários; Divulgação da Política; Implantação; Revisão da Política. Principais etapas de elaboração, cont. • Classificação da Informação Classificar a informação dentro de um processo de segurança, auxilia no controle de divulgação e destruição das informações. Funciona como uma espécie de etiqueta que é definida pelo proprietário da informação, levando em consideração o seu valor e o risco que representa para a organização. Principais etapas de elaboração, cont. Principais tipos de classificação da informação: • Uso Confidencial – aplicada às informações de grande valor a organização, se divulgadas indevidamente podem causar danos e prejuízos a organização ou a seus parceiros. Seu uso e disseminação devem ser restritos e controlados. • Uso Interno – aplicada às informações restritas aos funcionários e a terceiros. • Uso Público – Informações que podem ser divulgadas para o público em geral, incluindo clientes, fornecedores, imprensa, etc. Principais etapas de elaboração, cont. • Elaboração de Normas Nesta talvez serão definidas, de acordo com as informações levantadas nas fases anteriores, as normas e procedimentos que devem ser seguidos pelos funcionários, técnicos e colaboradores da organização. Principais etapas de elaboração, cont. Principais tópicos das normas e procedimentos: • acessos externos; • acessos internos; • uso da Intranet; • uso da Internet; • uso de correio eletrônico; • política de uso e instalação de softwares; • política de senhas • política de backup; • uso e atualização de anti-vírus; • acesso físico; • acesso lógico; • trilhas de auditoria • padrões de configuração de rede (nome de máquinas, etc.) Principais etapas de elaboração, cont. • Termo de Compromisso O termo de compromisso é utilizado para que os funcionários,estagiários e colaboradores se comprometam formalmente em seguir a política de segurança e também para reforçar os principais pontos da política. Deve ser assinado por todos os funcionários e renovado anualmente. Deve ser um aditivo ao contrato de trabalho. Principais etapas de elaboração, cont. • Divulgação da Política Um dos maiores desafios de uma Política de Segurança é conseguir grande aderência dos funcionários, isso acontece muitas vezes devido a cultura da organização e a falta de envolvimento da alta administração. Para resolver esse problema utilizamos a divulgação como instrumento de conscientização dos funcionários e colabores, da importância da segurança das informações e da adoção de uma política. Principais etapas de elaboração, cont. A Política de Segurança deve ser de conhecimento de todos os funcionários, estagiários e colaboradores da organização, portanto deve ser amplamente divulgada, inclusive para novos funcionários. Principais métodos de Divulgação: • Promover campanhas internas de conscientização; • Palestras de conscientização para os funcionários e colaboradores; • Destaque em Jornal e folhetos internos; • Destaque na Intranet da organização; • Criação de manual em formato compacto e com linguagem acessível aos usuários; • Disponibilizar na Intranet ou na rede, em local comum a todos, a política na íntegra para consultas. Plano de Contingência Definição Plano de contingência ou plano de recuperação, é um plano que contém as diretrizes que a empresa deve seguir em caso de parada no processamento das informações, decorrente de desastre. Objetivo O plano de contingência tem como objetivo auxiliar no restabelecimento do processamento dos sistemas críticos da organização, levando em consideração a criticidade de cada sistema e o prazo previsto para o seu restabelecimento, de modo que minimize eventuais perdas à organização, podendo estas serem financeiras, jurídicas ou de imagem. Principais pontos para a definição de um Plano • definição das equipes de contingência, suas tarefas e responsabilidades; • identificação dos sistemas críticos; • identificação dos recursos de que os sistemas críticos dependem; • levantamento da documentação dos sistemas críticos; • definição da metodologia de backup; • definição do backup site; • definição da metodologia de treinamento e simulação do plano de contingência; • definição de regras para a atualização do plano; • definição de responsabilidade pela ativação e desativação do plano • definição das diretrizes de elaboração do plano de retorno; Principais pontos para a definição de um Plano • Definição das equipes de contingência, suas tarefas e responsabilidades Nesta etapa devem ser definidas as equipes que estarão envolvidas no plano de contingência, desde a sua elaboração, até a ativação e desativação do plano. Abaixo listamos alguns exemplos de equipes que podem ser formadas: • • • • • • • equipe executiva; equipe de coordenação; equipe de revisão e atualização do plano; equipe de testes e simulações; equipe de software e hardware; equipe de operação dos sistemas; equipe de logística. Principais pontos para a definição de um Plano • Identificação dos sistemas críticos Sistemas críticos são os sistemas vitais para o desenvolvimento do negócio da empresa. Se o funcionamento desses sistemas for interrompido a organização pode sofrer algum tipo de prejuízo ou dano. Nesta fase é necessária as seguintes análises: • • • • Identificação dos sistemas críticos; Análise de impacto nos negócios; Análise de risco; Homologação dos sistemas críticos pelos executivos. Principais pontos para a definição de um Plano • Identificação dos recursos de que os sistemas críticos dependem A identificação dos recursos pelos quais os sistemas críticos dependem, dará as informações necessárias para a definição da estrutura mínima que deverá ser utilizada durante a ativação do plano de contingência. Os recursos analisados devem ser: • recursos de software; • recursos de hardware; • recursos de infraestrutura; • recursos humanos. Principais pontos para a definição de um Plano • Levantamento da documentação dos sistemas críticos Para facilitar o entendimento dos sistemas e facilitar a adaptação a situações, é importante fazer o levantamento da documentação dos sistemas, apontando os seguintes ítens: • • • • • • • • objetivos do sistema; fases e descrição do sistema ; analistas responsáveis; relação de programas utilizados; interfaces; usuários gestores; módulos e componentes críticos dos sistemas; serviços essenciais para a recuperação dos sistemas não críticos. Principais pontos para a definição de um Plano • Definição da metodologia de backup Os backups dos sistemas críticos são peças fundamentais na ativação do plano, portanto devem obter atenção especial. Devem ser seguidos os mesmos cuidados utilizados na política de backup, sendo observados os seguintes ítens: • • • • • local onde serão armazenadas as fitas de backup; uso de cofres; controle da ordem cronológica de baixa dos backups; controle da vida útil das fitas de backup; simulações períódicos da restauração dos backups. Principais pontos para a definição de um Plano • Definição do backup site Backup site é o local onde será montada a estrutura necessária para a ativação do plano de contingência, esse local deverá estar localizado fora das instalações da organização, e deverá conter todos os recursos identificados como necessários para a ativação do plano. Nesta etapa deve ser definido o local de implantação do backup site, a estrutura de comunicação necessária. Algumas empresas optam por usar backup sites de outras empresas. Principais pontos para a definição de um Plano • Definição da metodologia de treinamento e simulação do plano de contingência Para o sucesso do plano de contingência, é necessário que as pessoas que estejam envolvidas no processo de contingência sejam treinadas, e orientadas nas ações que devem realizar após a ativação do plano. Devem ser definidas as formas e datas de treinamento. Outro fator importante para o sucesso do plano é fazer a sua simulação, somente assim pode-se ter a certeza de que todos os procedimentos descritos no plano serão executados com êxito. O plano deve ser testado periodicamente, o período indicado é de 1 ano. Todos os testes e simulações devem ser documentados. Principais pontos para a definição de um Plano • Definição de regras para a atualização do plano O plano de contingência deve ser atualizado toda vez que houver alguma alteração ou inclusão de procedimentos ou sistemas, que sejam considerados critícos para a organização. Se não houver, o plano deverá ser revisado em um prazo máximo de 1 ano, podendor ser realizado em conjunto com os testes anuais. Principais pontos para a definição de um Plano • Definição de responsabilidade pela ativação e desativação do plano As decisões de ativação e desativação do plano devem ser tomadas pelas pessoas certas na hora certa. Essas decisões devem ser tomadas por executivos da organização, e devem ser baseadas em relatórios e informações obtidas pela a equipe que coordena o plano de contingência. Principais pontos para a definição de um Plano • Definição das diretrizes de elaboração do plano de retorno O plano de retorno deve ser elaborado após a ativação do plano de contingência, e deve conter as definições e especificações necessárias para orientar o retorno as aividades normais. O plano de retorno deve conter os seguintes ítens: • descrição dos procedimentos para o retorno das atividades normais; • definição da estrutura de apoio; • definição das datas para o retorno das atividade; • criação de relatórios com o histórico dos procedimentos e atividades.